会计江湖｜内控防骗：用规则约束权力

2022年12月7日，甘肃平凉，民警为老年人开展反电信网络诈骗宣传。IC 图

最近接受一家公司的邀请，就财务操作流程如何合规和风险把控方面进行了一次交流。原因是公司出现过这样的一种情况：有人冒充领导打电话给财务，让他转几百万到某个账户，然后财务真的就直接转了，后果很严重。

这其实并不是个案。前两年有一家上市公司也发生了类似的场景，并发布重大事项公告对事情的原委进行了说明，核心内容是财务主管人员遭遇电信诈骗，导致公司银行账户内的298万元人民币通过网络被盗取。

根据公开信息，这个事情的发生除了骗子之外，还涉及公司内部的三个人：一是公司综合管理部的职员杨某，二是公司的财务负责人邓某，三是出纳员詹某。

调查显示，杨某收到了一份署名为公司总经理张某的邮件，要求他建立一个内部工作群，把财务负责人拉到群里。杨某可能是“太年轻又单纯”，在不辨真伪的情况下，真的按照其指示拉了一个群，还把邓某拉入新建的群。群中只有三个人：杨某、邓某和（假冒的）张某。

张某在群中开始对邓某说，今天有一笔保证金大概98万元要打过来，你查一下工行的基本户收到没有。邓某在核查之后回答说：工行尚未有收账记录。

张某接着说：你联系一下徐某，他的电话156********，问他合同保证金打了没有，如果没有打就暂时不要打，让他等我修改好合同后再打保证金。

邓某按照指示，联系了“徐某”（估计就是骗子或者“连裆模子”），然后告知张某，“已经联系过了，徐炳洪说十分钟前已将款划入你个人账户”。

张某回应：“我在开会没有留意，款项我已经收到，他已经打入到我的私人账户了。你现在再联系一下徐总，我需要修改合同，先把保证金退给他，等合同修改后再重新打款，你安排从公司账上将98万元退回去，我会议结束后再补汇到公司账上。”接着，张某把徐某的账号发给了邓某。

邓某完全没有意识到这是个骗局，也没有任何甄别判断的意识，“在未经公司领导审批，未执行财务付款流程”的情况下，同出纳员詹某一同经网上银行划出公司的银行资金98万元。

看到第一笔资金如此轻易到手，骗子估计心中乐开了花。

既然这么好骗，那就再来一次。于是十几分钟后，张某又发了一段信息：“徐总可能没有和他的会计沟通清楚，他的会计以为合同已经签订成功了，又把尾款打给我了。这样吧，你再安排一下从公司把款项退回去，明天我将298万一起退回公司。合同还没有签，要给对方一个好印象……”。

邓某又傻傻地打了200万过去，此时的他还没有意识到被骗。直到当天晚上，杨某看到了聊天记录，开始怀疑碰到了骗子，于是打电话给邓某，邓某也意识到可能其中有问题，再打电话给公司的张总核实，发现真的被骗了。

这件事情发生之后，会计上做账非常简单，比如资金已经没了，对应的要有相关责任人（主要是杨、邓、詹三人）承担20%比例的赔偿，剩余80%的差额计入坏账准备或管理费用，另外对相关直接责任人采取了调离岗位和撤职的处理。

有人说骗子真聪明，知道假冒领导来行骗，还能一再得手。但从专业的角度看，是公司内部控制出了问题。

早在美国安然、世通丑闻爆发之后，当时的美国总统布什就签署了著名的《萨班斯·奥克斯利法案》。该法案一共有11章80条，其中至关重要的条款之一是404条款，即要求上市公司建立健全财务报告内部控制，以合理保证财务报告的真实、可靠、完整。

因为我国也有很多公司在美国上市，于是在财政部的牵头下，我国监管部门在2008年也发布了《企业内部控制基本规范》，此后又出台了很多的配套制度，对上市公司内部控制建设提出了明确的要求。

就前述案例而言，相关事实表明上市公司还是有内部控制规定的，比如有总经理“张某”的要求、财务负责人邓某的审批、出纳员詹某的付款，这叫“职责分工”，是内部控制的核心要求。

但与此同时，案例中也有很多内部控制方面的缺陷。比如付款环节，首先要有付款理由，是采购，还是报销，或者是借款？采购要有合格供应商名录、招投标程序、采购合同、验收报告、发票等等；报销、借款，也要有合格的凭证和规定的程序等等。如果涉及大额的资金支付，可能还要走“三重一大”的决策程序，甚至还有预算的管控要求等等。

一个未经证实的“张某”，通过口头要求，就能够轻松把公司298万元的资金转出去，违反了“领导审批”“财务付款流程”两个要求。换句话说，张某要付钱，理论上是不能够由张某来审批的；财务要付款，是要有原始凭证和规范流程的。骗子能得手，说明公司的内部控制要求流于形式。“合同保证金”，那合同编号多少、合同内容是什么、收款条件、打账的账号和名称等，都应该是财务关注的点，怎么可能把“公司”的款打到“个人”的账户上？这是不符合账户管理要求的！理论上，合同是格式条款，通常还要经过法务的审核，怎么可能出现公、私不分这样低级的错误条款？！

再比如说，公司是先收款再打回去款项的，那么客户是新客户还是老客户，公司数据库里有无该客户的信息？新客户有无信用评估报告，合同编号多少，客户付款条件、期限安排、金额比例是怎样约定的？客户在短短半个小时不到的时间，分两笔把合同价款打到个人账户上，其经济合理性如何？合同签署的程序、收到款项的开票程序、产品或劳务提供的要求等都是常规的审核点，而邓某居然一个问题都不问，要不说明他缺乏必要的专业知识，就是他对领导有一种盲从的心态。

内部控制的关键在“过程”，公司要努力做到“过程留痕”，谁发起的业务，经过谁的审批，有没有符合规定条件的表单及签字，能否通过信息系统予以固化，都是这个“过程”中的构成要素。

对案例公司而言，转的资金近300万，负责“看门”的财务人员，首先要问的问题是转不转，有没有实质性的经济业务予以支撑？其次是能不能转，有没有得到恰当的授权，是否符合公司的财务制度？还要问，如果转账的话，有哪些凭证要求，应该怎么操作？比如要不要经过双重复核，资金流、物流、信息流是不是匹配，有没有合同，合同是否符合格式要求，是否经过法务的审核，有没有合同的台账和编号等等。

央视有档栏目叫《今日说法》，曾经播出一个财务总监监守自盗的案件。疫情期间，南京一家公司的CFO詹某在大年三十的下午赶到公司，砸开柜子拿到了付款所需的三个U盾，把公司账上的1900万元转到了自己的账上。在春节期间，詹某还向董事长拜年、请示工作、上报预算资料等等。等到春节过后回到单位，董事长才发现账上的钱没了，再找詹某，发现他已经失踪了。公司后来通过报警，费尽千辛万苦把詹某捉拿归案，节目上董事长很感慨，说“遇到这种人，你怎么防也防不住”。

按董事长的说法，这个詹某非常专业，到公司后，给董事长提供的第一份报告，就是加强公司的内部控制，比如资金的支付审批从两级变成三级，比如帮助董事长解决了建设工程中的法务问题、帮助同事解决了电脑操作上的IT问题，平时对人也非常友善，处事很低调。说他监守自盗，上自董事长、下至普通员工，都没有人相信。“周公恐惧流言日，王莽谦恭未篡时”，只能说骗子伪装的本事高。

但真的防不住吗？U盾的密码有3个，分别由3人保管，CFO即使拿到3个U盾，没有密码也是不可能把钱转出去的。他是怎么拿到密码的？负责保管U盾的归口责任人是否有保密意识？公司账上资金被转出去了1900万，居然要到春节后付款时才发现，公司是否应该开通账上余额变动短信提醒功能，是否运用技术手段实现每日余额上报及对账？

案件披露的信息证实，詹某的文凭、学历、注册会计师证书、身份证等都是伪造的，公司的人力资源部门是否对关键岗位的员工进行背景调查，是否经过相应的学历学位验证等？这些事实表明，如果公司对人员招聘、财务日常管理的内部控制做到位，完全是可能防得住的。

当然，各个公司所处的行业、环境不同，业务千差万别，文化、管理风格各异，制度基础也不一样，但从本质上看，面临的风险却有相似之处。在电视剧《理想之城》中，总经济师徐知平曾说，“我干了一辈子风控，经手过无数案例，得出的结论，最大的风险来自人”。无论是第一个案例中的“张某”，还是第二个案例中的“詹某”，都是位高权重之人，如何把他们的权力关在笼子里，也许是内部控制需要重点考虑的问题。用确定的规则来约束权力，凡事有制度、流程、表单，过程中的关键人员比如财务能勤勉尽责，相信骗子得手的概率会大大降低。

（本文为澎湃商学院独家专栏“会计江湖”系列之三十七，作者袁敏为上海国家会计学院教授，会计学博士，研究方向：内部控制、资信评级等，出版有《资信评级的功能检验与质量控制研究》《企业内部控制规范与案例》等著作。）